tag:blogger.com,1999:blog-4065770693499115314.post2539111106422046593..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: Четверокнижие по ПДн - next generationАлексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger56125tag:blogger.com,1999:blog-4065770693499115314.post-85053859436656890502010-02-15T20:35:59.641+03:002010-02-15T20:35:59.641+03:00Смотря в какой из версий...Смотря в какой из версий...Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-14173517666617992432010-02-15T17:50:07.201+03:002010-02-15T17:50:07.201+03:00"НДВ требуется только для ИСПДн 1-го класса....."НДВ требуется только для ИСПДн 1-го класса...", а разве в предыдущем документе было не так?)безработныйhttps://www.blogger.com/profile/03960760044285013988noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-25679703216002451612010-02-09T22:01:59.753+03:002010-02-09T22:01:59.753+03:002 Анонимный
Но опять-таки не стоит забывать про 4...2 Анонимный<br /><br />Но опять-таки не стоит забывать про 46 статью ФЗ, которая до сих пор говорит, что<br /><br /><i><br />До дня вступления в силу соответствующих технических регламентов обязательная оценка соответствия, в том числе подтверждение соответствия и государственный контроль (надзор), а также маркирование продукции знаком соответствия осуществляется в соответствии с правилами и процедурами, установленными нормативными правовыми актами Российской Федерации и нормативными документами федеральных органов исполнительной власти, принятыми <b>до дня вступления в силу настоящего Федерального закона.</b><br /></i><br /><br />Здесь уже исключений не делают. И снова мы возвращаемся к тому, что у ФСТЭКа есть только Положение о сертификации, где прямо сказано, что СрЗИ - это ПТС, предназначенное для защиты гос. тайны и точка.doomhttps://www.blogger.com/profile/18335912353525023314noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-32600771340438008682010-02-09T16:27:56.969+03:002010-02-09T16:27:56.969+03:00> Так что я все-таки пока еще прав:)
Не хочет...> Так что я все-таки пока еще прав:) <br /><br />Не хочется огорчать, но поскольку ФЗ по статусу выше ПП, то статья 5 действует с момента принятия ФЗ №184. Так что не важно, было это раньше в ПП или нет.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-47931541194628638212010-02-09T11:44:18.356+03:002010-02-09T11:44:18.356+03:00Коллеги, а поделитесь, плиз, документом, который о...Коллеги, а поделитесь, плиз, документом, который обсуждаете. А то как-то убрали его с сайта (((<br />я о "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных"<br />serg13zhebr@mail.ruSerg13noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-59862101264787182892010-02-09T08:42:41.787+03:002010-02-09T08:42:41.787+03:00По поводу казуса со статьей 5 закона О техническом...По поводу казуса со статьей 5 закона О техническом регулировании...<br /><br />Покопался тут. Статья 5 была изменена 1 мая 2007 года, до этого она называлась:<br /><i>Статья 5. Особенности технического регулирования в отношении оборонной продукции (работ, услуг) и продукции (работ, услуг), сведения о которой составляют государственную тайну.</i><br /><br />Правда по тексту статьи все-таки была малопонятная оговорка про "или относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа".<br /><br />Но самое главное другое - вплоть до нынешнего года правительство не принимало ежегодное новое постановление об утверждении перечня товаров, подлежащих обязательной сертификации - они лишь вносили изменения в ПП аж от 1997 года, в котором, естественно, никаких оговорок про статью 5 закона О техническом регулировании не было.<br /><br />Так что я все-таки пока еще прав :) <br />Новое ПП вступит в силу только с 14 февраля :)doomhttps://www.blogger.com/profile/18335912353525023314noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-91715719387227481482010-02-08T22:30:56.784+03:002010-02-08T22:30:56.784+03:00Вот если ты получишь официальный письменный ответ,...Вот если ты получишь официальный письменный ответ, то да ;-) Но у них колоссальное умение отвечать много, но не по существу.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-54910444903306847332010-02-08T21:39:40.678+03:002010-02-08T21:39:40.678+03:00Как показала практика, если ФСТЭК припереть к стен...Как показала практика, если ФСТЭК припереть к стенке (в смысле отправить официальный запрос), то частное мнение может превратить в более-менее официальный документ - письмо от ФСТЭК. Это уже какая-никакая юридическая сила.doomhttps://www.blogger.com/profile/18335912353525023314noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-89665238414601620572010-02-08T19:53:09.968+03:002010-02-08T19:53:09.968+03:00Частное мнение чиновника - это частное мнение граж...Частное мнение чиновника - это частное мнение гражданина, не имеющее никакой юридической силы.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-48946792059669412652010-02-08T17:40:53.204+03:002010-02-08T17:40:53.204+03:00Хорошо бы еще теперь понять, в каком виде требован...Хорошо бы еще теперь понять, в каком виде требования ФСТЭК будут законными, а в каком можно поспорить?<br /><br />Вот приказ, подписанный директором, более менее легитимен. А подписанный руководителем подразделения? А частное мнение руководителей ФСТЭК, активно высказываемое на различных конференциях и форумах, легко разрешающих то одно, то другое?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-34629634705576152642010-02-08T15:47:14.508+03:002010-02-08T15:47:14.508+03:002 DOOM
Расскажу вам по секрету - они и сами не зн...2 DOOM <br />Расскажу вам по секрету - они и сами не знают, что так можно. :-) А за информацию по необходимости сертификации спасибо - в наших законах "куда повернул, туда и вышло"...Алексей Т.https://www.blogger.com/profile/18336548034862391527noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-64845679774818666872010-02-08T12:51:01.018+03:002010-02-08T12:51:01.018+03:00>Коллеги, почему при доказывании своей правоты,...>Коллеги, почему при доказывании своей правоты, приводя ссылки на законодательные акты, все так любят "забывать" некоторые моменты?<br /><br />Почему сразу "забывать"? Честно признаюсь - никогда не замечал этих оговорок, ни в самом законе, ни в ПП. <br />Так что, спасибо за информацию - но возникает вопрос, почему даже представители наших федеральных органов исполнительной власти, уполномоченных по вопросам... не могли четко сказать про соответствие их позиции законодательству РФ?doomhttps://www.blogger.com/profile/18335912353525023314noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-74784421826995612552010-02-08T12:38:04.112+03:002010-02-08T12:38:04.112+03:00>>Осталось найти ссылку на >>действующ...>>Осталось найти ссылку на >>действующий перечень...<br /><br />>А что ее искать-то - вот оно. >Свеженькое. Никаких тебе СрЗИ.<br /><br />Коллеги, почему при доказывании своей правоты, приводя ссылки на законодательные акты, все так любят "забывать" некоторые моменты?<br /><br />Например, по приведенной ссылке на Постановление Правительства РФ от 1 декабря 2009 года N 982, почему то не рассмотрен п.4:<br />"Настоящее постановление не распространяется на отношения, возникающие при проведении оценки соответствия продукции, требования к которой устанавливаются в соответствии со статьей 5 Федерального закона "О техническом регулировании".<br /><br />Смотрим статью 5 ФЗ о регулировании. И "вдруг" обнаруживаем там, что:<br />"<b>В отношении ... продукции (работ, услуг), используемой в целях защиты сведений</b>, составляющих государственную тайну или <b>относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа</b>; ... <b>обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные</b> государственными заказчиками, <b>федеральными органами исполнительной власти, уполномоченными в области</b> обеспечения безопасности, обороны, внешней разведки, <b>противодействия техническим разведкам и технической защиты информации</b>"<br /><br />Вот правомерность этих формулировок и комментируйте, а то "нет в списке, нет в списке"Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-87895126892395471762010-02-08T12:05:30.745+03:002010-02-08T12:05:30.745+03:00Скорее всего звонков и запросов много появилось о ...Скорее всего звонков и запросов много появилось о разъяснениях. Кстати есть версия, что убрали, чтобы переложить в раздел с утвержденными документами. :-)Алексей Т.https://www.blogger.com/profile/18336548034862391527noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-55288136828171901532010-02-07T01:12:21.268+03:002010-02-07T01:12:21.268+03:00Кто хотел, обсудил и кинул им ;-) Но и они и сами ...Кто хотел, обсудил и кинул им ;-) Но и они и сами умеют читать форумы и блоги.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-14451239515468406572010-02-06T20:59:12.199+03:002010-02-06T20:59:12.199+03:00Если интересно, на
http://www.ispdn.ru/forum/in...Если интересно, на<br /> http://www.ispdn.ru/forum/index.php?PAGE_NAME=message&FID=1&TID=441&MID=6385&result=reply#message6385 <br /><br />приведено сравнение требований к подсистемам безопасности по руководящему документу по АС (Гостехкомиссия) и проекту Приказу ФСТЭК.Johnhttps://www.blogger.com/profile/04190239127904004588noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-30004939846188388562010-02-06T19:14:02.632+03:002010-02-06T19:14:02.632+03:00Вы кидали?
А кто-нибудь кидал?
А что, разве было...Вы кидали?<br /><br />А кто-нибудь кидал?<br /><br />А что, разве было какое-то предложение к обсуждению, по аналогии с СТО БР ИББС?<br /><br />:-)SDnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-84819688865441943072010-02-05T20:45:22.289+03:002010-02-05T20:45:22.289+03:00Видимо накидали кучу вопросов. Поняли, что совсем ...Видимо накидали кучу вопросов. Поняли, что совсем сырой - вот и убрали.AndrewZnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-34788645429285882002010-02-05T16:58:08.533+03:002010-02-05T16:58:08.533+03:00Ну вот доигрались...
Проект-то убрали с сайта :)Ну вот доигрались...<br />Проект-то убрали с сайта :)doomhttps://www.blogger.com/profile/18335912353525023314noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-63891780660514603532010-02-05T11:32:44.079+03:002010-02-05T11:32:44.079+03:00Но ситуация в текущий момент в любом случае ведет ...Но ситуация в текущий момент в любом случае ведет к сертификации/аттестиации. Клиенты приходят и талдычат об одном - дайте нам ваши решения, но чтоб они были сертифицированы - это решит все наши проблемы с ФЗ-152. И начинается растолковывание каждому от и до.<br /><br />И запугивают их не столько интеграторы, сколько регулятор(ы). В связи с чем делаю вывод, что кормушка была, есть и будет. Может более завуалированная, но состричь денег с операторов ПД (а вместе с ними с разработчиков софта, используемых в этих ИСПДн) некоторые товарищи возможности не упустят.Nikita Gergelhttps://www.blogger.com/profile/00423004731502309519noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-57647129488757393402010-02-05T11:11:36.771+03:002010-02-05T11:11:36.771+03:00Последний анонимный: Вы о ком? О каких людях? Из N...<b>Последний анонимный:</b> Вы о ком? О каких людях? Из NIST? Я с ними часто общаюсь - очень толковые люди. Понимают, что к чему.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-70089516711536877062010-02-05T10:49:43.932+03:002010-02-05T10:49:43.932+03:002 Алексей Т.
Подписываюсь под сказанным!
Добавлю...2 Алексей Т.<br /><br />Подписываюсь под сказанным!<br /><br />Добавлю только что... "В итоге сертификация по ОК стала в РОссии упрощенной сертификацией СЗИ"...<br /><br />С учетом названных и не названных проблем это "Упрощением" назвать нельзя... (для Заказчика/Разработчика/Пользователя)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-71914072208969593012010-02-05T10:39:20.419+03:002010-02-05T10:39:20.419+03:002 doom Проектов по ОК и не только все больше и бол...2 doom Проектов по ОК и не только все больше и больше на сайте ФСТЭК. ПРоблем с их внедрением еще больше:<br />- нестыковка с действующими РД/НМД (АС, СВТ, СТР-К) не позволяет полностью одномоментно перейти к их применению;<br />- несоответствие терминов и понятий (для специалистов ИТ не проблема, для всех остальных конец света). Несоответствие так и не было устранено из-за исторического соперничества двух организаций (кому надо, могу рассказать каких);<br />- вымирание специалистов, способных разработать нормальные документы (в этих двух организациях их фактически осталось очень мало, и то среднего и высшего уровня управления);<br />- ну и еще куча проблем.<br />В итоге сертификация по ОК стала в РОссии упрощенной сертификацией СЗИ, не став достоверней и полнее (а даже совсем наоборот).<br />Кстати, качество сертификации зависит от ОС и ИЛ - кому надо, могу порекомендовать качественные организации, которые отработают свои деньги. (это не реклама!!!!)Алексей Т.https://www.blogger.com/profile/18336548034862391527noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-89035890935928891362010-02-05T01:14:43.732+03:002010-02-05T01:14:43.732+03:00мдааа... вполне компетентные, но глубоко наивные л...мдааа... вполне компетентные, но глубоко наивные люди))<br />и не один из них не вспомнил о "теории хаоса"...<br />документов мало, и разрабатывал их ограниченный круг людей... поговорите с ними, войдите в их положение... и вы всё поймёте))Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-12710852408244141482010-02-04T15:42:48.301+03:002010-02-04T15:42:48.301+03:002 Алексей Т.
Весь дух закона о тех. регулировании...2 Алексей Т.<br /><br />Весь дух закона о тех. регулировании говорит о простой вещи государству: не лезь ты во все щели! <br />Не нужны эти навязанные сверху схемы, если только речь не о здоровье и угрозе жизни людей. <br /><br />А вся узкоспециальная сертификация должна быть <i>добровольной</i>.<br />И никого туда не надо загонять силком. Ведь Common Criteria занимались тем, что популяризировали свою систему, объясняли ее преимущества перед другими - теперь западные вендоры такое ощущение, что хвалятся у кого EAL выше :) Эта схема работает. <br /><br />А платить 20% от стоимости коммутатора Cisco, чтобы убедиться, что его ACL действительно способен фильтровать пакеты по IP адресам отправителя и получателя - это дорогое и никому не нужное удовольствие (хотя какое оно удовольствие).<br /><br />Тоже самое касательно аттестации. Аттестация в соответствии с действующим положением или с СТР-К - нежизнеспособна по определению.<br /><br />Наметки более жизнеспособной схемы так и остались наметками и никакого движения там нет (речь о <a href="http://www.fstec.ru/_licen/015.pdf" rel="nofollow">проекте концепции оценки соответствия автоматизированных систем требованиям по безопасности информации</a>).<br /><br /><br />Я здесь утверждаю, что обязывать обычных людей сертифицировать СрЗИ в системах сертификации ФСТЭК или ФСБ - это заведомо неправильно. Это такая же непонятно кому нужная условность, как и проверка каждой асы, поставляемой в Россию в недрах ФСБ - от таких действий виден только вред, а польза как-то не наблюдается...doomhttps://www.blogger.com/profile/18335912353525023314noreply@blogger.com